عکس نویسنده

بازدید :

تاریخ : دوشنبه 1391/09/27

نگاهی نو به امنیت در آی تی

(قسمت اول)

تعریف امنیت از نظر واژه نامه Webster یعنی احساس آرامش بدون ترس و تشویش. امروزه با پیشرفت علوم مختلف و مخصوصا صنعت آی تی نیاز به داشتن محیطی امن به منظور انجام کلیه امور یک ضرورت بسیار مهم می باشد. در این مقاله سعی بر توضیح و بحث پیرامون امنیت در آی تی و شبکه شده است.

امنیت دو قسم دارد

Feeling ( بعد احساسی): بخش احساسی شامل تفکر و اطمینان از امن بودن بستر آی تی مانند شبکه داخلی دارید. این احساس می تواند درست و یا نادرست باشد. بعنوان مثال صرف داشتن یک آنتی و یروس بر روی سیستم و یا شبکه دلیل بر اطمینان از ویروسی نشدن آن نیست. زیرا ممکن است آنتی ویروس فقط نصب باشد و مشکلی در بروز رسانی آن وجود داشته باشد.

مثال دیگر داشتن دیواره آتش در شبکه است که معمولا باعث اطمینان خاطر کاربران و مدیران شبکه می شود در حالی که پیکربندی نادرست بر روی دیواره آتش می تواند صدمات جبران ناپذیری را بر سیستم ها وارد نماید. بعبارت ساده تر می توان گفت که ما امن نیستیم ولی احساس امنیت می کنیم.

Realistic (بعد واقعی): این قسم از امنیت دقیقا برعکس حالت احساسی می باشد. یعنی ضریب امنیتی ما در حد مطلوب است ولی این احساس در ما وجود ندارد و موجب درگیری ذهن مدیران امنیتی و شبکه و در حالت بد کاربران سیستم ها می باشد.

حال چرا در بحث امنیت چنین احساس می شود؟

دلیل این نوع تفکر حالت Transparent بودن امنیت می باشد. یعنی اکثر کارها و تنظیماتی که در زمینه امنیت بر روی سیستم ها و شبکه انجام می شود جنبه فیزیکی نداشته و قابل لمس نمی باشد و این خود این حس عدم امنیت در سیستم ها را تقویت می نماید. بعنوان مثال زمانیکه یک سیستم چک کردن اثر انگشت به منظور ورود به سازمان وجود داشته باشند و یا داشتن نگهبان با وسیله های حفاظتی در یک سازمان حس امنیت را به صورت واقعی در ذهن کاربران ایجاد می کند. حال شما بالاترین ضریب امنیتی را در سیستم ها پیاده سازی کنید آیا این حس به کاربر دست می دهد که سیستمش امن باشد؟ خیر!

بسیاری از سازمان ها براین باورند که داشتن فقط یک آنتی ویروس و یک دیواره آتش آنها را از بسیاری از خطرات امن نگه می دارد و هیچ وقت به تنظیمات و پیکربندی های آنها توجه نمی کنند

حال چه کنیم که حس امن بودن در سازمان بین مدیران و کاربران فراهم شود؟

در اولین قدم می بایست کلیه سیاست های امنیتی را برای کاربران شرح داد. ارائه دفترچه های بسیار کوچک و توضیع بین کاربران، درج خبر و توضیح در سایت های داخلی سازمان، زدن اعلامیه در تابلو اعلانات سازمان و در بهترین حالت برگزاری کلاس های لازم به منظور آشنائی و توضیح برای مدیران و کاربران سازمان راه حل های مفید و نتیجه گذاری برای این امر می باشد.

در این ضمینه چه چیزهائی را می بایست توضیح داد؟

جلسات توضیح پیرامون امنیت بدلیل داشتن موارد بسیار زیاد تخصصی و نا آشنائی بسیاری از مدیران و کارکنان سازمان،یک جلسه خشک و غیر جداب می باشد،لذا می بایست در زمان مشخص و کم کلیه مطالب طوری پوشش داده شود که از نگاه کاربر هم قابل درک و هم جذاب به نظر برسد.دلیل انجام موارد امنیتی، چگونگی انجام آن،تلاش ها برای رسیدن به این نتیجه به منظور پیاده سازی آن در سازمان،نتیجه پیاده سازی آن مواردی است که می بایست در این جلسات در مورد آن با زبان ساده و قابل درک برای حاضرین در جلسه گفته شود.

اینکه کاربر بداند در مقابل چه خطراتی امین شده و این سیاست های امنیتی چه سودی برای وی سازمان دارد خود حس اشتیاق به کارکرد و آسودگی خاطر برای وی به ارمغان میاورد.

سه بعد اصلی امنیت در آی تی

در شکل زیر مثلث معروف امنیت وجود دارد که هر ضلع آن بیانگر مبحث و قابلیتی به منظور امن کردن و ایجاد احساس امنیتی می باشد.

Confidentiality یا محرمانگی به منظور نگه داشتن صحیح اطلاعات از دسترسی های غیر مجاز و حفظ حریم خصوصی آن می باشد. این امر هم باید بصورت فیزیکی و هم بصورت منطقی انجام شود.

بعنوان مثال:

**استفاده از تعریف سطح دسترسی (ACL) بمنظور جلوگیری از دسترسی های غیر مجاز

** استفاده از نام کاربری و پسورد به منظور دسترسی به منابع سازمان

** رمز نگاری اطلاعات با استفاده از الگوریتم های قوی

Integrity یا یکپارچگی به منظور حفظ اطلاعات از گزند تغییر و یا آلوده شدن؛ به تعبیر کلی تر در آی تی.

یکپارچگی کلیه اجزاء و هماهنگ بودن آنها به منظور انجام کار می باشد. مانند اینکه همه چی بخوبی کارکند ولی لینک های ارتباطی قطع باشد. حال به مثال هائی در این ضمینه می پردازیم:

**رمزنگاری اطلاعات به منظور انتقال

**شناسائی دو طرف به منظور ارسال و دریافت

** مدیریت و رصد کلیه سرویس ها به منظور یکپارچه بودن و نبود اختلال در سیستم ها

Availability یا در دسترس بودن بدین معنی می باشد که سیستم برای افراد مجاز می بایست در شرایط تعیین شده همیشه قابل دسترس بوده و سرویس های موجود همیشه بصورت کامل به کلیه درخواست ها پاسخ دهند.

نگهداری سیستمی بدین شکل در ظاهر بسیار ساده بنظر می رسد ولی در عمل بسیار مشکل می باشد زیرا عوامل زیادی در دسترس بودن یک سیستم را تحت الشعاع قرار می دهد:

**تجهیزات سخت افزاری

** برق و سیستم های مولد آن

**حملات بر علیه سرویس های یک سیستم

**اختلال ناشی در پیکربندی های نادرست

سیستم های آی تی به تنهائی مشکلی ندارند. مشکل زمانی پیش میاید که کاربران مشکل دار شروع به فعالیت های خرابکارانه می کنند

موارد تفکر اشتباه درباره امنیت

همانطور که در ابتدای مقاله درباره دو قسم امنیت توضیح داده شد که شامل بحث احساسی و واقعی امنیت بود، ذکر تفکرات اشتباه در این زمینه هم لازم است. بسیاری از سازمان ها براین باورند که داشتن فقط یک آنتی ویروس و یک دیواره آتش آنها را از بسیاری از خطرات امن نگه می دارد و هیچ وقت به تنظیمات و پیکربندی های آنها توجه نمی کنند زیرا این علم برای آنها وجود ندارد که پیکربندی اشتباه گاه می تواند مخرب باشد و نتیجه عکس دهد. پس صرف داشتن چنین محصولاتی تضمینی برای امنیت سیستم ما نیست. همچنین امنیت یک سیستم مفهوم می باشد نه یک محصول؛ و مکمل سیستم آی تی می باشد.

سیستم های آی تی به تنهائی مشکلی ندارند. مشکل زمانی پیش میاید که کاربران مشکل دار شروع به فعالیت های خرابکارانه می کنند. بسیاری از کاربران با دانستن ضعف یک سیستم در صورتی ناراضی بودن و یا از حس کنجکاوی شروع به انجام فعالیت هائی می کنند که سیستم مذکور قادر به انجام آن نیست و یا کاربران به منظور عدم پذیرش سیاست های سازمان شروع به استفاده از ابزارهای غیر مجاز می کنند.

با توجه به موارد فوق می توان نتیجه گرفت که در دنیای آی تی امنیت یک سیستم و مفهوم کلی به منظور تکمیل و برطرف نمودن ضعف های پیش آمده آی تی می باشد نه یک یا چند محصول.

سارا سیفی خواه
بخش دانش و زندگی تبیان

اجتماعی

اینفوگرافیک

فیلم نوشت

خانواده

کمیک

موشن گرافیک

سلامت

طرح و پوستر

اینفوموشن

بین الملل

عکس نوشت

فیلم های خبری

دینی

سبک زندگی

کودک و خانواده

اقتصاد

ورزشی